Tweet
Khi bạn cấu hình IPSec để bảo vệ dữ liệu truyền qua mạng, hai thành phần quan trọng nhất sẽ trực tiếp đảm nhiệm công việc này là Authentication Header (AH) và Encapsulating Security Payload (ESP). Đây là hai giao thức cốt lõi trong IPSec, giúp đảm bảo rằng dữ liệu đến đúng nơi, không bị thay đổi, và – nếu cần – được mã hóa để tránh bị kẻ xấu đọc trộm.
🔐 Authentication Header (AH) – Bảo vệ nguyên vẹn, không mã hóa
AH được thiết kế để cung cấp xác thực nguồn gốc và toàn vẹn dữ liệu, tức là đảm bảo rằng gói tin không bị giả mạo hoặc chỉnh sửa trong quá trình truyền đi. AH sử dụng các cơ chế như HMAC và sequence number để kiểm tra nội dung và chống lại các tấn công phát lại (replay attack). Một điểm đặc biệt của AH là nó bảo vệ cả phần tiêu đề IP, giúp phát hiện các thay đổi không hợp lệ trong thông tin định tuyến của gói tin.
Tuy nhiên, có hai nhược điểm chính khiến AH ít được sử dụng trong thực tế:
- AH không mã hóa dữ liệu. Tất cả nội dung payload vẫn ở dạng rõ ràng, dễ bị đọc trộm nếu truyền qua môi trường không tin cậy.
- AH không tương thích với NAT (Network Address Translation). Do AH kiểm tra toàn vẹn cả phần tiêu đề IP, nên bất kỳ sự thay đổi nào – kể cả việc NAT chỉnh sửa địa chỉ IP – cũng khiến gói tin bị coi là đã bị chỉnh sửa và bị loại bỏ.
Vì những lý do này, AH hầu như không được dùng trong các triển khai IPSec hiện đại – nơi mã hóa và tương thích với NAT là yêu cầu bắt buộc.
🛡️ Encapsulating Security Payload (ESP) – Mã hóa và xác thực toàn diện
ESP là giao thức phổ biến nhất của IPSec hiện nay vì nó mang lại đầy đủ các tính năng bảo mật cần thiết: mã hóa nội dung, xác thực, kiểm tra toàn vẹn, và chống phát lại. Khi sử dụng ESP, toàn bộ phần payload sẽ được mã hóa, giúp bảo vệ dữ liệu khỏi bị nghe lén. Đồng thời, ESP cũng đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền và đến từ nguồn hợp lệ.
Trong chế độ Transport Mode, ESP mã hóa phần payload và giữ nguyên tiêu đề IP. Còn trong Tunnel Mode – được sử dụng nhiều trong VPN site-to-site – ESP mã hóa toàn bộ gói IP gốc, bao gồm cả tiêu đề, rồi đóng gói trong một gói IP mới với địa chỉ IP của các thiết bị VPN gateway.
Một ưu điểm cực kỳ quan trọng khiến ESP được ưu tiên sử dụng trong thực tế là khả năng tương thích với NAT thông qua cơ chế NAT Traversal (NAT-T). Trong nhiều môi trường mạng – đặc biệt là ở nhà, văn phòng chi nhánh, hoặc các mạng ISP – thiết bị NAT thường thay đổi địa chỉ IP và không xử lý được các gói tin sử dụng giao thức ESP gốc (IP protocol 50). Điều này dẫn đến lỗi khi truyền dữ liệu IPSec.
NAT-T giải quyết vấn đề này bằng cách đóng gói ESP bên trong gói UDP sử dụng cổng 4500. Khi đó, các thiết bị NAT sẽ xử lý nó như một gói UDP bình thường, không làm hỏng cấu trúc gói tin và cho phép IPSec hoạt động trơn tru xuyên qua NAT.
ESP cũng hỗ trợ các thuật toán mã hóa mạnh như AES, 3DES, và hoạt động hiệu quả trong các môi trường có yêu cầu cao về bảo mật, khả năng mở rộng và tính tương thích mạng.
🔍 So sánh AH và ESP – Cái nào phù hợp hơn?
Cả AH và ESP đều cung cấp khả năng xác thực và toàn vẹn dữ liệu, nhưng chỉ ESP hỗ trợ mã hóa nội dung, giúp che giấu hoàn toàn dữ liệu khỏi kẻ xấu. Ngoài ra, ESP tương thích với NAT, trong khi AH thì không – một yếu tố rất quan trọng trong các mạng hiện đại sử dụng NAT phổ biến. AH có thể bảo vệ cả tiêu đề IP, nhưng chính điều đó lại khiến nó không phù hợp với môi trường thực tế, nơi mà tiêu đề IP thường xuyên bị thay đổi (ví dụ qua NAT hoặc routing động).
Vì vậy, ESP là lựa chọn được sử dụng gần như tuyệt đối trong các triển khai IPSec, còn AH hiện tại chủ yếu tồn tại trong lý thuyết và tài liệu chuẩn, ít khi được triển khai thực tế.
🧠 Kết luận
Nếu bạn đang thiết kế hoặc triển khai bảo mật IPSec cho mạng doanh nghiệp – từ kết nối site-to-site đến remote access – hãy luôn ưu tiên sử dụng ESP. Nó đáp ứng đầy đủ yêu cầu mã hóa, xác thực, và tương thích tốt với hạ tầng mạng hiện đại. AH, mặc dù vẫn là một phần của chuẩn IPSec, nhưng đã lỗi thời trong thực tiễn vì không hỗ trợ mã hóa và không thể hoạt động qua NAT.